从 OAuth 网站查看对客户端凭据授予类型的解释:
客户端使用客户端凭据授予类型来获取用户上下文之外的访问令牌。
这通常被客户端用来访问关于他们自己的资源,而不是访问用户的资源。
如果客户端是受信任的应用程序(内部开发),它可以访问用户的资源吗?
从技术上讲,应用程序不是这些资源的“资源所有者”,但因为它是内部开发的“超级”应用程序,它应该能够访问它们,以实现组织的业务需求。
例如 - 想想您在 Google 中的用户。Google 地图应用程序会创建您拥有的资源(例如您在地图上“保存”的位置)。然后,一些具有“超级”权限的 Google 守护程序应用程序可以访问您创建的那些资源,以便处理它们并向您展示相关的广告。
那有意义吗?
谢谢!
西蒙。